攻撃に対して強化されたソフトウェアを開発するためのセキュリティの基本、脆弱性が悪用された場合に被害を軽減し、対応を迅速化する方法を学習
Linux Foundation「セキュア ソフトウェア開発」無料オンラインコースを開始
2022年12月5日 横浜発 ― Open Source Summit Japan 2022 ー オープンソースを通じて大規模イノベーションを推進する非営利団体Linux Foundationは、オープンソースやその他のソフトウェアを安全に使用・開発する方法について学習できる無料オンラインコース「セキュア ソフトウェア開発 (LFD121-JP)」を発表した。これまで英語で提供されてきた「Developing Secure Software (LFD121)」を日本語で受講できるようになった。
Apache Log4j問題やSolarWinds社事件などを通して、サイバー攻撃は近年、極めて深刻な脅威として認識されるようになった。攻撃によりセキュリティが侵害されてから対応することは十分ではなく、またユーザーを保護することもできない。そうならないために、セキュリティはソフトウェアのリリース前に組み込まれる必要がある。この実践的な方法を学習できるサイバーセキュリティ トレーニングを提供するために、Open Source Security Foundation (OpenSSF) はLinux Foundation Training & Certificationと提携し、無料オンラインコース「セキュア ソフトウェア開発」を開発した。
セキュア ソフトウェア開発は、ソフトウェア開発者、DevOpsプロフェッショナル、ソフトウェアエンジニア、Webアプリケーション開発者など、セキュアなソフトウェアの開発方法を学びたい人を対象に、情報セキュリティを向上させるために限られたリソースでも実行できる実践的なステップに焦点を当てている。攻撃が困難なシステムの開発と保守を容易にし、攻撃された時の被害を軽減し、潜在的な脆弱性を迅速に修復できるように対応をスピード化することを目的とする。
本コースは、リスクマネージメントが本当に意味することなど、サイバーセキュリティの基本についての説明から始まる。システム要件の一部としてセキュリティをどのように考慮するか、また、どのようなセキュリティ要件の可能性があるかを論じる。そして、ソフトウェアを安全に設計する方法に焦点を当て、悪い設計を避け、良い設計を取り入れるのに役立つさまざまな安全設計の原則を紹介している。また、ソフトウェア サプライチェーンをいかに保護するか、つまり、再利用されるソフトウェア (OSSを含む) をより安全に選択・取得し、セキュリティを強化するかについても考察している。
また、実装上の重要な問題や、最も一般的な種類の攻撃に対抗するための実践的なステップに焦点を当てている。続いて、静的/動的解析アプローチなどソフトウェアのセキュリティ検証方法と、その適用方法 (例 : 継続的インテグレーション パイプライン) について説明。また、脅威モデリングの開発方法や、さまざまな暗号化機能の適用方法など、より専門的なトピックについても取り上げている。
コースはセルフペースで学習でき、習得した知識をテストするためのクイズを入れて14〜18時間ほどで完了できる。修了後、必要なすべてのコースワークを完了し教材を習得したことを証明するデジタルバッジが送られる。デジタルバッジは、履歴書やソーシャルメディアのプロフィールに追加できるようになっている。
このコースを開発したLinux FoundationのDavid A. Wheelerは、OpenSSF Day Japan (Open Source Summit Japan併催イベント) に登壇し、コースについて紹介している。